Sinds het Amerikaanse AICPA in 1982 Statement on Auditing Standards No.44, Special-Purpose Reports on Internal Accounting Controls at Service Organizations uitbracht, zijn er door diverse beroepsregelgevende instanties en standaardisatielichamen regels en protocollen gepubliceerd voor de uitvoering van TPM-onderzoeken. Een aantal hiervan wordt in deze reeks artikelen behandeld.
Klik hier voor een inleiding op de reeks artikelen en een overzicht van de artikelen.
Inleiding
Na jarenlange voorbereiding is in september 2001 in Nederland de Wet bescherming persoonsgegevens (Wbp) officieel van kracht geworden. Na een overgangstermijn van een jaar moeten (vrijwel) alle organisaties in Nederland voldoen aan de eisen die de Wbp stelt ten aanzien van verwerkingen van persoonsgegevens. Persoonsgegevens zijn gegevens die betrekking hebben op natuurlijke en identificeerbare personen.
Naast de wettelijke sancties voor het zich niet houden aan de privacywet kan een organisatie ook bedrijfsschade oplopen in het geval zij niet voldoet aan de privacywetgeving. Misstappen op dit gebied kunnen voor een organisatie immers leiden tot negatieve publiciteit, geschonden vertrouwen, verlies van marktaandeel en civielrechtelijke schadeclaims.
Als gevolg van de toenemende mate van elektronische beschikbaarheid van een grote hoeveelheid persoonlijke gegevens en de toenemende technische mogelijkheden om op relatief eenvoudige wijze koppelingen tussen geautomatiseerde gegevensbestanden te realiseren is er begrijpelijkerwijs een maatschappelijke onrust over wat er met die persoonsgegevens allemaal achter de rug van de betrokkene om gebeurt. Door koppeling van gegevensbestanden worden de herkomst en het gebruik van gegevens nog moeilijker te traceren. Op deze wijze kunnen de persoonsgegevens die op het eerste oog relatief onschuldig zijn, een andere betekenis krijgen.
Daarom ontstaat er bij organisaties, waaronder zeker de overheid geschaard kan worden, soms de behoefte expliciet naar de markt toe duidelijk te maken dat zij in ieder geval goed omgaan met de bescherming van de bij hen aanwezige persoonsgegevens. Het kunnen overleggen van een ‘bewijs van goed gedrag’ zou daarbij zeer behulpzaam kunnen zijn.
Tabel 1. Overzicht diepgang productenset.
Bewijs van goed gedrag
Aan zo’n bewijs van goed gedrag, een privacycertificaat, wordt nu hard gewerkt. Het Samenwerkingsverband Audit Aanpak, bestaande uit het College Bescherming Persoonsgegevens (CBP) en een aantal beroepsorganisaties van auditors[De volgende organisaties waren onder meer betrokken bij de ontwikkeling van privacy-assuranceproducten: NOREA, NIVRA, NovAA en ISACA.], heeft het Raamwerk Privacy Audit opgesteld op basis waarvan ‘geaccrediteerde certificeerders’ toetsen of een organisatie voldoet aan de (minimale) eisen die gesteld worden aan goed gedrag, dus in overeenstemming met de van toepassing zijnde wet- en regelgeving. De strekking van een privacycertificaat dient voor de maatschappelijke acceptatie helder en eenduidig geformuleerd te zijn. De wereld die achter een certificaat schuilgaat, is omvangrijk en complex. Het is daarom noodzakelijk eisen te formuleren over de betekenis en inhoud van het certificaat en eisen te formuleren over de deskundigheid van degene die het certificaat afgeeft. Het Samenwerkingsverband Audit Aanpak heeft daartoe een drietal producten ontwikkeld, die een gelaagde opbouw kennen en daardoor verschillen in reikwijdte en diepgang. Naar zwaarte gerangschikt zijn de volgende producten op het gebied van privacy beschikbaar: de Quickscan, de Wbp Zelfevaluatie en het Raamwerk Privacy Audit[Deze producten kunnen worden gedownload via de website van het CBP op www.cbpweb.nl.].
De Wbp Zelfevaluatie is een product dat ontwikkeld is ten behoeve van de leiding van een organisatie. De betreffende vragenlijst kan het beste in een soort van workshop worden ingevuld, waarbij de aanwezigen gezamenlijk kennis hebben van de bedrijfsprocessen waarin persoonsgegevens worden verwerkt, de veelal onderliggende automatisering en natuurlijk van de privacywet. De Wbp Zelfevaluatie is een methode om op systematische wijze tot een zelfstandig oordeel te komen over de mate van privacybescherming in de organisatie.
Zowel de Wbp Zelfevaluatie als het Raamwerk Privacy Audit is opgebouwd rondom negen aspecten die direct verband houden met de Wbp (zie tabel 2). In het Raamwerk Privacy Audit zijn verder nog eisen gesteld aan de ‘organisatie van de verwerking’, dus vrijwel de automatiseringsorganisatie, en het toezicht dat daarop wordt uitgeoefend (de ‘evaluatie van de verwerking’).
Tabel 2. De negen aspecten van de Wbp. [Klik hier voor grotere afbeelding]
Op dit moment wordt nog hard gewerkt aan de zogenaamde accreditatie- en certificatieschema’s. Het accreditatieschema regelt wie privacycertificaten mogen afgeven en wie daarop toezicht zal houden. Door deze regelingen ontstaat een nationaal erkend privacycertificaat, waarvan verzekerd is dat het is afgegeven en wordt onderhouden op basis van een deugdelijk onderzoek. Hoe dat deugdelijk onderzoek precies moet verlopen, staat vervolgens in het certificatieschema; voor de volledigheid zij nogmaals aangegeven dat wat onderzocht moet worden reeds is vastgelegd in het Raamwerk Privacy Audit.
Op weg naar het certificaat
Veelal zal een certificaat niet voor alle verwerkingen van persoonsgegevens in een organisatie nuttig zijn. Het management zal dus moeten aangeven welke verwerkingen met name voor certificering in aanmerking komen. Daarbij kan eventueel worden aangesloten op het in tabel 3 gegeven schema, afkomstig uit AV23 ([Blar01]).
Tabel 3. Schema voor het bepalen van de risicoklasse.
Voor deze processen zal het management, bijvoorbeeld via de zelfevaluatie of een gericht onderzoek van een privacydeskundige, zich eerst zelf willen vergewissen van de vraag of de organisatie inderdaad aan de vereiste wet- en regelgeving voldoet. Na eventuele correcties zal vervolgens de verantwoordelijke een verklaring van compliance afgeven, waarmee wordt aangegeven dat de organisatie gereed is voor de certificatie.
Privacycertificering
In Nederland is er nog geen organisatie die in het bezit is van een privacycertificaat afgegeven op basis van het Raamwerk Privacy Audit, maar dat zal niet lang meer op zich laten wachten, omdat het genoemde Samenwerkingsverband inmiddels vergevorderd is met het accreditatie- en certificatieprogramma.
Naar verwachting zal begin 2004 het eerste certificaat kunnen worden afgegeven. Daarbij zal het volgende model waarschijnlijk van toepassing zijn:
- geldigheidstermijn van drie jaar, met enkele tussenliggende herhalingsaudits;
- geen kritische non-conformaties en
- gericht op negen V-normen uit tabel 1 en aanvullende zekerheid dat de standaard-beveiligingsmaatregelen rond de automatisering van de gegevensverwerking zijn gewaarborgd. Deze normen zijn ook opgenomen in het Raamwerk Privacy Audit.
ZekeRE Privacy
Op eigen initiatief heeft NOREA de Handleiding ZekeRE-privacy uitgegeven. Deze handleiding is gebaseerd op het Raamwerk Privacy Audit en bedoeld voor de IT-auditor die in opdracht van een cliënt de kwaliteit van de verwerking van persoonsgegevens beoordeelt. De beoordeling richt zich hoofdzakelijk op het stelsel van internecontrolemaatregelen ter bescherming van de privacy. Hiertoe behoren zowel organisatorische als technische controlemaatregelen.
In bijlage I van de Handleiding ZekeRE-privacy heeft NOREA een matrix opgenomen waarin voor de aspecten rondom de verwerking van persoonsgegevens, de aard en de diepgang van de werkzaamheden nader zijn beschreven. Per aspect wordt daarbij ingegaan op toleranties (deficiënties) en non-conformiteiten die tijdens de audit naar voren zouden kunnen komen. Bijlage II van de handleiding bevat een voorbeeld voor een eventueel af te geven ZekeRE Privacy-oordeel door de gekwalificeerde IT-auditor.
Literatuur
[Blar01] G.W. van Blarkom en drs. J.J. Borking, Beveiliging van persoonsgegevens, Registratiekamer, Achtergrondstudies en Verkenningen 23, april 2001.
[Gils01] H.G.Th. van Gils en J.P.M.J. Leerentveld, De rol van de auditor bij de implementatie van de Wbp, Compact 2001/4.
[NORE02] Nederlandse Orde van Register EDP-Auditors (NOREA), Handleiding ZekeRE-privacy, 2001/2002.
[SAAC01a] Samenwerkingsverband Audit Aanpak/Cbp, Raamwerk Privacy Audit, Den Haag 2001.
[SAAC01b] Samenwerkingsverband Audit Aanpak/Cbp, Wbp Zelfevaluatie, Den Haag 2001.
[SAAC01c] Samenwerkingsverband Audit Aanpak/Cbp, Quickscan, Den Haag 2001.